Negli ultimi giorni, due importanti novità nel mondo della sicurezza informatica hanno attirato l’attenzione di utenti e aziende, riguardando rispettivamente il popolare software di compressione file 7-Zip e la sicurezza dei codici di autenticazione a due fattori (2FA) su dispositivi Android. Entrambi i casi mettono in luce quanto sia cruciale mantenere aggiornati programmi e sistemi, e quanto anche strumenti considerati sicuri possano nascondere rischi significativi.
Il primo problema riguarda 7-Zip, software ampiamente utilizzato per comprimere ed estrarre file, che ha recentemente visto scoperte due vulnerabilità critiche, identificate come CVE-2025-11001 e CVE-2025-11002. Questi bug permettono a file ZIP appositamente creati di eseguire codice indesiderato sfrutt@ndo la gestione errata dei link simbolici all’interno degli archivi. In pratica, un archivio m@levolo potrebbe scrivere dati al di fuori della cartella di estrazione prevista, aprendo la strada a potenziali att@cchi informatici e all’installazione di malware. La gravità del problema cresce esponenzialmente in contesti aziendali o su server, dove un’azione malevol@ potrebbe sovrascrivere librerie di sistema o inserire software dannoso in cartelle protette.
Per l’utente medio, le conseguenze includono perdita di dati, compromissione della sicurezza del sistema e possibili infezioni. La buona notizia è che Igor Pavlov, creatore di 7-Zip, ha corretto entrambe le vulnerabilità nella versione 25.00 rilasciata il 5 luglio 2025. Chi non ha ancora aggiornato il software dovrebbe farlo immediatamente per garantire la protezione del proprio sistema.
La seconda novità riguarda la sicurezza dei codici 2FA su dispositivi Android. Un nuovo tipo di att@cco, denominato Pixnapping, ha dimostrato come sia possibile sottrarre codici di autenticazione a due fattori, cronologie di localizzazione e altri dati sensibili in meno di 30 secondi, senza alcuna autorizzazione di sistema. La dimostrazione è stata effettuata su dispositivi come Samsung Galaxy S25 e Google Pixel, ma il metodo potrebbe estendersi ad altri modelli. L’att@cco sfrutt@ una vulnerabilità delle API Android: installando un’app malevol@, un malintenzionato può leggere ciò che appare sullo schermo, inclusi codici ricevuti via SMS o generati da app dedicate, trasferendoli a un server remoto.
Oltre ai codici 2FA, possono essere raccolti anche messaggi di chat, e-mail e altre informazioni visibili. Google ha già preso provvedimenti per mitigare il rischio, ma le contromisure risultano parzialmente efficaci: una patch aggiuntiva è prevista entro dicembre. Nel frattempo, è consigliabile evitare l’installazione di applicazioni sospette e mantenere aggiornati sistema operativo e app.